Lunes desmotivador (XII): Esquema nacional de seguridad
Por todos es bien sabido mi desaprobación de engendros tales como el ENS. Aunque tiene algunos aspectos positivos, lo peor de todo es que introduce una peligrosa forma de pensar enfocada al cumplimiento y a la rimbombancia.
Os recomiendo leer estos dos artículos, uno sobre las métricas de seguridad (y cómo pueden hacer que te estanques) y otro sobre la desmotivación en seguridad cuando hay poco presupuesto (que haga que dediques esfuerzos a aparentar el cumplimiento legal).
En definitiva, os dejo el lunes desmotivador de hoy para que reflexionéis sobre el ENS, el cumplimiento legal y hasta qué punto no somos otra cosa que prisioneros en un sitio lleno de trampas.
, sobre todo cuando ni siquiera se trata de los mismos entornos o versiones…...
En los días grises pienso como tu, en los que estoy optimista pienso que mejor el engendro que nada…
Pero ¿qué otra cosa se podía hacer?
@olyoly Hombre… no hacer nada cuando lo que vas a hacer es una mierda también es una sabia decisión.
Yo conozco mucha gente que está viendo un canal de TV malo pero dice “es que no hay otra cosa”. Pero sí hay otra cosa, está la opción de apagar la tele.
La verdad es que entiendo que es complejo establecer una referencia en seguridad para que los organismos la cumplan. Si siquiera el NIST ha sabido hacerlo bien.
A lo mejor la solución no es un documento para gobernarlos a todos. Seguro que hay otras alternativas. ¿Qué hacen en otros ámbitos?
Si quieres mi opinión, no había solución. El modelo que a mi me hubiera gustado es:
1. Decreto con política de seguridad muy abstracta: principios básicos, organización de la seguridad (responsables, comités) y competencias de respuesta a incidentes (CCN-CERT).
2.- Programa de concienciación y formación en condiciones para todas las administraciones.
3.- Auditorías y control de incidentes.
4.- Penalización y castigo a los responsables organismos donde se produzca un incidente que genere perjuicios a ciudadanos.
Es una utopía, creo que podría funcionar hasta el punto 3 con mucho esfuerzo de los profesionales que trabajan en las administraciones. Pero al llegar al punto 4…
Un punto clave en la gestión de la seguridad es la RESPONSABILIDAD y parece que los ciudadanos no exigimos responsabilidades en cuanto a la seguridad de nuestros datos y servicios públicos… que la vamos a hacer…